El 6 de marzo de 2025, la Superintendencia de Transporte emitió la Resolución 2328 y estableció que las empresas del sector transporte de Colombia deben contar con un Sistema de Administración del Riesgo de Lavado de Activos y de la Financiación del Terrorismo conocido por las siglas SARLAFT. Este sistema debe contar con los parámetros necesarios para evitar y controlar los riesgos de lavado de activos y financiación del terrorismo con el fin de proteger a las empresas en lo financiero, jurídico y reputacional. Es así que las empresas de transporte dejarán a un lado el SIPLAFT y tendrán hasta noviembre de 2025 para migrar y cumplir con todo lo estipulado en el SARLAFT. A continuación, revisamos los aspectos más importantes de este sistema para que el sector transporte pueda llevarlo a cabo dentro de los parámetros establecidos por el ente regulador. 

SARLAFT: cuatro etapas y ocho elementos claves 

El SARLAFT se estructura en cuatro etapas principales, cada una diseñada para asegurar que las entidades puedan identificar, evaluar y gestionar los riesgos asociados al LA/FT:

1. Identificación de riesgos: Evaluar el riesgo de LA/FT al que está expuesta la entidad.
2. Medición del riesgo: Determinar la probabilidad y el impacto de estos riesgos en la organización.
3. Control de riesgos: Establecer controles efectivos para mitigar los riesgos identificados.
4. Monitoreo de riesgos: Supervisar continuamente los riesgos para ajustar las estrategias según sea necesario.

Además, para implementar el SARLAFT, las entidades deben seguir ocho elementos indispensables:

1. Políticas: Definir directrices claras para el desarrollo y cumplimiento del sistema.
2. Procedimientos: Establecer acciones específicas para ejecutar cada fase del sistema.
3. Documentación: Llevar registros detallados de las acciones realizadas.
4. Estructura organizacional: Asignar responsabilidades claras a todos los involucrados, incluyendo a la junta directiva.
5. Órganos de control: Designar auditores y revisores fiscales que supervisen la ejecución del sistema.
6. Infraestructura tecnológica: Implementar tecnología avanzada que facilite la gestión del SARLAFT.
7. Divulgación de la información: Compartir informes sobre el funcionamiento del sistema, tanto interna como externamente.
8. Capacitación: Entrenar a los encargados del sistema para asegurar su correcta implementación.

 Siete pasos para elaborar la matriz de riesgo del SARLAFT

La matriz de riesgo es uno de los instrumentos que le permite a una Empresa identificar, individualizar, segmentar, evaluar y controlar los Riesgos Lavado de Activos, Financiación del Terrorismo y Financiación de la Proliferación de Armas de Destrucción Masiva (LA/FT/FPADM) a los que se podría ver expuesta, conforme a los Factores de Riesgo LA/FT/FPADM identificados. 

Esta herramienta permite relacionar los eventos de riesgo por cada factor de riesgo de LA/FT/FPADM y facilita el observar la evolución del riesgo en términos de probabilidad e impacto por cada uno de los riesgos asociados al LA/FT/FPADM, desde el riesgo inherente, hasta su riesgo residual para determinar el nivel de efectividad de los controles. Esta matriz de riesgos (también llamada matriz de análisis de riesgos) se estructura mediante filas y columnas en donde cada fila registra los riesgos y cada columna es una característica del riesgo (factor de riesgo, riesgo asociado, causa, consecuencia, probabilidad, impacto, criticidad, control, etc.) y se puede llevar a cabo con los siguientes pasos: 

1. Determinar el contexto interno y externo de la entidad: es esencial que cada entidad sea consciente de su tamaño, ubicación geográfica, actividad económica, sector en el que se encuentre, cultura organizacional, competencia, condiciones políticas, sociales, culturales y de seguridad con el fin de identificar y medir sus amenazas y vulnerabilidades.
2. Identificar los factores de riesgo: con base en la determinación del contexto interno y externo de la empresa, se deben identificar los diferentes factores de riesgo que deben ser objeto de administración y control tales como: contrapartes, productos, canales y jurisdicciones.
3. Establecer la metodología de riesgo: identificado el contexto y los factores de riesgo, se podrá establecer la metodología que utilizará para desarrollar el sistema de gestión de riesgo. Existen varios estándares nacionales e internacionales que podrá utilizar como la Norma Técnica Colombiana NTC – ISO 31000 2018, NTC-IEC/ISO 31010 2020, ISO 37301 / 2021.
4. Identificar los riesgos: teniendo en cuenta las amenazas y sus fuentes de peligro, deben identificar los posibles riesgos de LA/FT/FPADM a los que se enfrenta la empresa estableciendo las causas, consecuencias, factores de riesgo y riesgos asociados.
5. Medir los riesgos: de acuerdo con la metodología seleccionada, debe establecer la probabilidad y el impacto de cada uno de los riesgos identificados obteniendo el perfil de riesgo inherente.
6. Calificar los controles: una vez establecido el perfil de riesgo inherente, se deben calificar los controles de acuerdo con su diseño, calidad y efectividad. Producto de este análisis se obtendrá como resultado el perfil de riesgo residual.
7. Graficar el mapa de calor: finalizada la matriz de riesgos donde se estableció el perfil de riesgo inherente y el perfil de riesgo residual, se podrá representar los resultados gráficamente en un mapa de calor. Este mapa está conformado por dos variables, la probabilidad (eje “y”) y el impacto (eje “x”), las cuales están calificadas en matrices de diferentes tamaños de acuerdo con sus necesidades (3x3, 5x5 y 10x10), clasificados de menor a mayor. Como resultado de dicha calificación se obtiene el nivel de riesgo de acuerdo con los criterios de riesgo establecidos donde normalmente en la zona roja son los riesgos más peligrosos y en la zona verde son los más bajos o controlados.

Te invitamos a explorar nuestra guía centralizada para SARLAFT, SAGRILAFT, y más. Encuentra, entiende y aplica las regulaciones que impactan a tu negocio buscando por palabras claves de tu sector y explora cuales normativas aplican a tu empresa

Debida diligencia y debida diligencia intensificada en el SARLAFT

Uno de los aspectos más importantes en el cumplimiento del SARLAFT y una de las recomendaciones del GAFI es hacer una debida diligencia o debida diligencia intensificada según lo requiera el cliente. Este paso puede ser tan fundamental como dispendioso porque obliga al oficial de cumplimiento o a la persona designada a revisar múltiples fuentes de información para poder acreditar al cliente o socio. Es así como Tusdatos busca aligerar este proceso con un sistema que centraliza cientos de fuentes de información nacionales e internacionales para su consulta de forma sencilla y rápida. Por eso te invitamos a acceder a la consulta de antecedentes en un clic, que además de agilizar procesos, garantizará cumplir con un paso fundamental del SARLAFT y tener la información disponible y actualizada para cuándo la Superintendencia necesite disponer de ella.